Zranitelnosti zabezpečení v implementaci LDAP v prostředí Java Runtime Environment (JRE) mohou umožnit odepření služby (DoS) a spuštění škodlivého kódu

Kategorie
Zabezpečení
Fáze vydání
Resolved

Id chyby
6717680, 6737315
Datum vyřešeného vydání
24.3.2009
Bezpečnostní chyby v implementaci LDAP v prostředí Java Runtime Environment (JRE) mohou umožnit odepření služby (DoS) a spuštění škodlivého kódu:
1. Dopad
CR 6717680:
Zranitelnost zabezpečení v prostředí Java Runtime Environment (JRE) v rámci inicializace připojení LDAP může být zneužita vzdáleným klientem ke způsobení stavu odepření služby (DoS) ve službě LDAP.
CR 6737315:
Zranitelnost zabezpečení v implementaci klienta LDAP v prostředí Java Runtime Environment může umožnit, aby škodlivá data ze serveru LDAP způsobila neočekávané načtení a spuštění škodlivého kódu na klientovi LDAP.
2. Přispívající faktory
Tyto problémy se mohou vyskytnout v následujících vydáních Java SE a Java SE for Business pro Windows,Solaris a Linux:

  • JDK a JRE 5.0 Update 17 a starší
  • JDK a JRE 6 Update 12 a starší

a v následujících vydáních Java SE for Business pro Windows, Solaris,a Linux:

  • SDK a JRE 1.4.2_19 a starší

a v následujícím vydání Java SE pro Windows a Solaris:

  • SDK a JRE 1.3.1_24 a starší

Pro zjištění verze Javy nainstalované v systému lze použít následujícípříkaz:

 % java -version
java version "1.5.0_17

Pro zjištění výchozí verze JRE, kterou používá prohlížeč Internet Explorer, navštivte následující adresu URL:

  • http://java.com/en/download/installed.jsp?detect=jre&try=1

Pro zjištění výchozí verze JRE, kterou používají prohlížeče Mozilla nebo Firefox, navštivte adresu URL „about:plugins“. Prohlížeč zobrazí stránku s názvem „Installed plug-ins“, kde je uvedena verze JavaPlug-in:

 Java(TM) Platform SE 6 U11

V tomto příkladu je verze JRE, kterou prohlížeč používá, 6Update 11.
3.Příznaky
Pokud dojde k problému popsanému v CR 6717680, služba LDAP nemusí reagovat.
Neexistují žádné spolehlivé příznaky, které by naznačovaly, že problém popsanýv CR 6737315 byl zneužit.
4. Řešení
Pro tyto problémy neexistuje žádné řešení. Viz částRešení níže.
5. Řešení
Tyto problémy jsou řešeny v následujících verzích:

  • JDK a JRE 6 Update 13 nebo novější
  • JDK a JRE 5.0 Update 18 nebo novější

a v následujícím vydání Java SE for Business pro Windows, Solaris,a Linux:

  • SDK a JRE 1.4.2_20 nebo novější

a v následujícím vydání Java SE pro Windows a Solaris:

  • SDK a JRE 1.3.1_25 nebo novější

Vydání Java SE jsou k dispozici na adrese:
JDK a JRE 6 Update 13:

  • http://java.sun.com/javase/downloads/index.jsp

JRE 6 Update 13:

  • http://java.com/
  • Prostřednictvím nástroje Java Updatetool pro uživatele Microsoft Windows

JDK 6 Update 13 pro Solaris je k dispozici v následujících opravách:

  • Java SE 6: aktualizace 13 (dodaná v záplatě 125136-14)
  • Java SE 6: aktualizace 13 (dodaná v záplatě 125137-14 (64bit))
  • Java SE 6_x86:
  • Java SE 6_x86: aktualizace 13 (dodaná v záplatě 125138-14)

JDK a JRE 5.0 Update 18:

  • http://java.sun.com/javase/downloads/index_jdk5.jsp

JDK 5.0 Update 18 pro Solaris je k dispozici v následujících záplatách:

  • J2SE 5.0: update 18 (dodáno v záplatě 118666-19)
  • J2SE 5.0: update 18 (dodáno v záplatě 118667-19 (64bit))
  • J2SE 5.0_x86: aktualizace 18 (dodaná v záplatě 118668-19)
  • J2SE 5.0_x86: aktualizace 18 (dodaná v záplatě 118669-19 (64bit))

Vydání Java SE for Business jsou k dispozici na adrese:

  • http://www.sun.com/software/javaseforbusiness/getit_download.jsp

Poznámka 1: Vydání Java SESDK a JRE 1.4.2 ukončila proces Sun End of Service Life (EOSL). Sun doporučuje, aby uživatelé přešli na nejnovější vydání Java SE. Zákazníkům, kteří mají zájem nadále dostávat kritické opravyve verzích SDK a JRE 1.4.2, doporučujeme přejít na Java SE for Business.
Poznámka 2: SDK a JRE 1.3.1ukončily proces Sun End of Service Life (EOSL) a jsou podporovány pouze zákazníky se smlouvami o podpoře Solaris 8 a Vintage Support Offeringsupport (viz http://java.sun.com/j2se/1.3/download.html).Sun důrazně doporučuje, aby uživatelé přešli na nejnovější vydání Java SE.
Poznámka 3: Při instalaci nové verze produktu z jiného zdroje než ze záplaty Solarisu sedoporučuje odstranit ze systému staré dotčené verze.
Pro odstranění starých dotčených verzí na platformě Windows viz:

  • http://www.java.com/en/download/help/5000010800.xml

Další informace o bezpečnostních upozorněních Sunu viz 1009886.1.
Toto upozornění Sunu je vám poskytováno „TAK, JAK JE“. Toto oznámení Sun Alert může obsahovat informace poskytnuté třetími stranami. Problémy popsané v tomto oznámení Sun Alert nemusí mít vliv na váš systém (systémy). Společnost Sun neposkytuje žádná prohlášení, záruky ani garance týkající se informací obsažených v tomto upozornění. VEŠKERÉ ZÁRUKY, VÝSLOVNÉ NEBO PŘEDPOKLÁDANÉ, VČETNĚ, ALE BEZ OMEZENÍ, ZÁRUK PRODEJNOSTI, VHODNOSTI PRO URČITÝ ÚČEL NEBO NEPORUŠOVÁNÍ PRÁV, JSOU TÍMTO VYLOUČENY. PŘÍSTUPEM K TOMUTO DOKUMENTU BERETE NA VĚDOMÍ, ŽE SPOLEČNOST SUN V ŽÁDNÉM PŘÍPADĚ NENESE ODPOVĚDNOST ZA JAKÉKOLI PŘÍMÉ, NEPŘÍMÉ, NÁHODNÉ, SANKČNĚ NAHRAZOVANÉ NEBO NÁSLEDNÉ ŠKODY, KTERÉ VZNIKNOU V DŮSLEDKU POUŽÍVÁNÍ NEBO NEPOUŽÍVÁNÍ INFORMACÍ OBSAŽENÝCH V TOMTO DOKUMENTU. Toto oznámení Sun Alert obsahuje vlastnické a důvěrné informace společnosti Sun. Je vám poskytováno na základě ustanovení vaší smlouvy o nákupu služeb od společnosti Sun, nebo pokud takovou smlouvu nemáte, na základě podmínek používání webu Sun.com. Toto oznámení Sun Alertnotification smí být použito pouze pro účely předpokládané těmito smlouvami.
.